Referans Gazetesinde bugün yayınlanan İnternet bankacılığı işlemleri hukuki açıdan geçersiz başlıklı habere göre Telekomünikasyon Kurulu Başkan Yardımcısı Mustafa Alkan, elektronik ortamda yapılan işlemlerin geçerli olması için elektronik imza kullanılmasının şart olduğunu ve e-imza kullanılmadan bugüne kadar yapılmış işlemlerin hukuken geçersiz olduğunu söyledi. Ancak uzmanlar hukuki açıdan aynı fikirde değil.
Referans Gazetesinin Begüm Özbek imzalı haberi, bugüne kadar yapılan online bankacılık işlemleri kadar eDevlet uygulamalarının da geçersiz olduğu iddiasını ortaya getiriyor. Haber şu şekilde devam ediyor :
E-devlet uygulamalarının başlamasıyla Adalet, Sağlık, Maliye Bakanlıkları gibi kamu kurum ve kuruluşlarının internet ortamından vatandaşa yaptırdığı birçok işlem ve başvurunun hukuki açıdan geçersiz olduğu ortaya çıktı. Kamu hizmetlerinin yanı sıra, internet bankacılığı aracılığıyla yapılan fatura ödeme, para yatırma, EFT gibi işlemlerin de hukuki açıdan geçerli olmadığı çünkü kimlik bilgisi ve ıslak imza gerektiren bu işlemlerin hiçbirinin bu iki şartı da tek başına sağlayan “elektronik imza”nın (e-imza) kullanılmadığı öğrenildi.
Telekomünikasyon Kurulu (TK) Başkan Yardımcısı Mustafa Alkan, e-Dönüşüm İcra Kurulu’nda konunun ele alınarak kamu kuruluşlarına yapılan işlemlerin hukuki olmadığının anlatıldığını ve tartışmaya açıldığını belirtti. Alkan, e-imza altyapısı olmadan elektronik ortamda yapılan işlemlerin ileride mağduriyet yaratacağı uyarısında bulundu.
Alkan, 5070 sayılı Elektronik İmza Kanunu’nun çıkmasıyla birlikte e-imza’nın hem kimlik hem de ıslak imza yerine geçtiğini belirterek, kamu kuruluşlarının bunu TÜBİTAK bünyesindeki Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE), özel sektör ve vatandaşların ise görevlendirilmiş 3 şirketten alması gerektiğini belirtti.
Bunun yasal bir zorunluluk olmadığını ancak elektronik ortamda işlem yapanların işlemlerinin geçerli olması için e-imza edinilmesi gerektiğini vurgulayan Alkan, internet ortamında yapılan işlemlerde kimlik bilgisi doğrulanmadığı ve ıslak imza bulunmadığı için hiçbir işlemin hukuki açıdan geçerli olmayacağını belirtti. Alkan, bu nedenle elektronik ortamda hizmet veren ve alanların e-imza edinmesinin önemli olduğunu kaydetti.
E-beyannameler de geçersiz
Alkan, Maliye Bakanlığı’ndaki e-beyanname uygulamasının elektronik ortamda yapılıyor olmasına rağmen e-imza altyapısının kullanılmadığını belirterek, “5070 sayılı Elektronik İmza Kanunu olmadan önce bunlar hukuki bir sonuç doğurmayabilirdi ama bu kanundan sonra bu şekilde yapılan işlemlerin hukuki geçerliliği yok” diye konuştu. Alkan, herhangi bir mahkeme süreci söz konusu olunca ne Maliye Bakanlığı’nın ne de vatandaşın yapılan işlemin geçerli olduğunu ispat edemeyeceğini belirtti.
Alkan, Sosyal Sigortalar Kurumu’nun (SSK) e-bildirge, Sermaye Piyasası Kurulu’nun (SPK) kamu aydınlatma platform bildirgelerinin de aynı şekilde gerçekleştirildiğini belirtti. Emniyet Genel Müdürlüğü’nün (EGM) ise online pasaport uygulaması bulunduğunu ancak elektronik ortamda yapılan işlemi kağıt ortamında yeniden istediğini vurguladı.
Alkan, bunun e-devlet uygulaması olmadığını ve bunun bir işi iki kez yaptırmak olduğunu belirtti. Alkan, elektronik ortamda başvurunun e-imza ile yapılması ve sadece gidip pasaportun EGM’den alınması gerektiğine dikkat çekti.
Alkan, internet bankacılığı yoluyla yapılan işlemlerin de hukuki açıdan geçerli olmadığını çünkü bu işlemlerde e-imza altyapısı oluşturulmadığını belirtti. Bankaların gerekli altyapıyı oluşturması gerektiğini ve tek maliyetin gerekli altyapıyı kurmaktan kaynaklanacağını ifade eden Alkan, vatandaşların kullandığı kredi kartlarının ise e-kimlik olarak yenilenmesi gerektiğini kaydetti. Alkan, böylece internet bankacılığının geçerli bir hal alacağını belirterek, “Bankacılık işlemlerinde banka mağdurları artıyor. Kamuoyuna yansımıyor ama ciddi oranda güvenlik açıkları yaşanmaya başlandı” diye konuştu. Alkan, bankada mağdur olan müşterilerin çoğunun mahkemelere başvurmasına rağmen kararların hep bankalar lehine çıktığına dikkat çekerek, “5070 sayılı yasa sonrası e-imza altyapısı oluşturmadan işlem yapan varsa hukuki anlamda sorumlu olan bankalardır” diye konuştu.
E-imza beklenenden yavaş gidiyor
Alkan, vatandaşın devlete güvenerek bu işlemleri elektronik ortamda yaptığını ve kendisinden e-imza talep edilmediğini belirterek, e-imza edinmenin ortalama maliyetinin 50 dolar olduğunu kaydetti.
Bankalar için bu konunun güvenlik açısından maddi olarak ele alınamayacak kadar önemli olduğunu vurgulayan Alkan, hukuki açıdan bu işlemlerde geçerliliği olan sertifikanın bugüne kadar 12 bin adet verildiğini ancak bu sayının elektronik ortamda yapılan işlemlerin sayısının yanında oldukça düşük olduğunu belirtti.
Alkan, elektronik imzanın yaygınlaşma oranının beklenilenden yavaş olduğunu söyleyerek, kültürel değişimin de gerekli olduğunu kaydetti.
VEDOP ve Mernis’de güvenlik açığı
Alkan, internet aracılığıyla biri mail attığında, o mailin gerçekten o kişiden gelip gelmediğinin doğrulanamadığı örneğini vererek, e-imzanın bu açıdan güvenlik sağladığına dikkat çekti. Alkan, ileti gönderimi sırasında bilginin değiştirilmemesi yani veri bütünlüğü açısından da e-imzanın önemli olduğuna dikkat çekerek, “En çok üstünde durmamız gereken husus bilgi güvenliği. Mernis güvenliğinin açıkları oldu, Vergi Daireleri Otomasyon Projesi‘yle (VEDOP) ilgili olarak birçok kişilerin hesaplarına girildiği konuları tartışıldı” örneğini verdi. Alkan, e-imzanın değiştirilememezlik de sağladığını belirterek, e-imzanın hukuki bir zorunluluk olduğuna dikkat çekti.
Yargıtay kararı emsal oluşturacak
Yargıtay 11’inci Hukuk Dairesi yakın bir tarihte internet bankacılığını kullanan bir vatandaşın bir bankaya karşı açtığı davada vatandaş lehine karar verdi. Davacının internet bankacılığı aracılığıyla yaptığı işlem sırasında kullandığı internet şifresi başkalarınca ele geçirildi ve hesaptaki 20.1 bin YTL 15 dakika içinde 16 ayrı işlemle başka bir hesaba havale edildi. Bankaya gerekli güvenliği sağlayamadığı, bu kadar kısa sürede bu kadar çok işlemin yapılmasını fark eden sistemin bulunmadığı gibi gerekçelerle 2005 yılında açılan davada vatandaş lehine karar çıktı. Bu çıkan kararın 5070 sayılı Elektronik İmza kanunun çıkmasından sonra ortaya çıkabilecek hukuki anlaşmazlıklarda emsal gösterilebileceği vurgulandı.
Haber bu şekilde ama konuyla ilgili olarak görüşlerine başvurduğumuz hukukçular aynı fikirde değil. Uzmanlar, e-imza’nın online işlemlerde bir güven aracı olduğuna ama hukuki zorunluluk olmadığına dikkati çekiyorlar. turk-internet.com’da bir süre önce yayınlanan Alman Bankaları Phishing’e karşı e-imza kullanıyor haberinde de görüleceği gibi, bankacılık işlemlerinde e-imza güvenliği arttırma açısından önemli bir bileşen ama bugünden sonrası ya da öncesi için bir hukuki zorunluluk değil.
Konuyla ilgili olarak, gün içinde TK Başkan Yardımcısı Mustafa Alkan’ı aradık ama kendisine ofis dışında olduğu için ulaşamadık. Bu nedenle haberdeki ifadeler konusundaki görüşlerini öğrenemedik. Ancak görüşünü aldığımız bir hukukçu şunları ifade ediyorlar :
Bir hukuki işlemin sağlık koşulu ile ispat koşulu çoğu zaman farklıdır. Siz pazardan elma alırken ıslak imza atıyor musunuz? Atmadığınız için bu işlem geçersiz mi oluyor? Ya da hesabınıza para yatırırken de imza atmıyorsunuz. Bu durumda banka bu işlem geçersiz deyip paranın üstüne yatabilir mi? Ya da Akbil’e 100 YTL lik kontör yüklediğinizde ıslak imza olmadığı için ya da Akbil A.Ş.’de bize ıslak imzalı makbuz vermediği için işlemi hukuken geçersiz kabul edilip kontör iptal edebilir mi?
Islak imza bir ispat koşuludur. Hukuki işlemin sağlık koşulu değildir. Yani yapılan bir işlemin hukuki sonuç doğurması çoğu zaman imza atılmasına bağlı değildir. Hukuki işlem imza olmadan doğmuş olmakla beraber diğer taraf bu işlemin olmadığını iddia ederse o zaman bir ispat problemi yaşanır.
Örneğin, hepsiburada.com’dan notebook aldınız, parasını bankadan EFT yaptınız, malı da teslim aldınız. Şimdi bu malın sahibi olmadığınızı kim söyleyebilir? Elma alırken imza atmadınız, Notebook için de aynı şey geçerli.
Ancak; siz parayı gönderdiniz ama satıcı malı göndermedi. Ne yapacaksınız, satıcının peşine düşeceksiniz. Nasıl ? Bankaya “Benim hesabım burada, sayın banka, hepsiburada.com’a para gönderdiğime ilişkin bana yazı ver” diyeceksiniz ve bu yazıyla satıcıyı savcılığa şikayet edip dolandırıldım diyeceksiniz.
Ancak eğer hepsiburada.com parayı gönderdiğinizde, size notebook göndereceğini söyleyen elektronik imzalı bir teyit e-maili atmış olsaydı, işiniz İSPAT AÇISINDAN daha kolay olurdu. Ama bu imzanın olmaması hepsiburada.com’u sorumluluktan kurtarmaz. Hakim, savcı sizin verdiğiniz banka yazısını göstererek hepsiburada.com’a “bu para hesabına neden yattı?” diye sorar.
Kısacası; işlemin hukuken olmadığını iddia etmek başka şey, bu işlemin ispatı başka şey. Eğer taraflar yaptıkları her tür işlemin altına ıslak imza ya da elektronik imza koyarsa bu işlemin ispatı için kolaylık sağlar ama hukuki işlemin doğması için çoğu zaman ne ıslak imza, dolayısıyla ne de elektronik imza aranmaz. Şart değildir.
Konuyla ilgili olarak, gelişmeleri Bankalar Birliği ve diğer kurumların görüşlerini alınca okuyucularımıza aktaracağız.